گزارش شفافیت

آخرین بروزرسانی: مارس ۲۰۲۶

آخرین بازبینی توسط Pablo Ivaldi در 2026-04-25.

1. تعهد ما

‎NexTunnel‎ به شفافیت در نحوه برخورد با درخواست‌های دولتی، احکام قضایی و استعلام‌های مراجع قانونی پایبند است. این صفحه مستند می‌کند چه چیزی را لاگ می‌کنیم، چه چیزی را نمی‌کنیم، کجا فعالیت داریم و هر درخواستی که دریافت کرده‌ایم به همراه پاسخ ما.

2. سیاست بدون لاگ

تعهد بدون‌لاگ ما یک شعار نیست — یک انتخاب معماری است که خودمان آن را بازرسی می‌کنیم. به‌طور مشخص، موارد زیر را لاگ نمی‌کنیم:

• بدون آدرس IP مبدأ — آدرس IP که از آن متصل شده‌اید را فراتر از حافظه موقت لازم برای حفظ تونل فعال ثبت نمی‌کنیم. لحظه‌ای که قطع می‌کنید، آن IP از بین می‌رود.
• بدون درخواست‌های ‎DNS‎ — ما جستجوهای دامنه را لاگ نمی‌کنیم. ‎resolver‎های ما در ‎RAM‎ اجرا می‌شوند و هیچ لاگ پرس‌وجویی روی دیسک نمی‌نویسند.
• بدون محتوای ترافیک یا مقصد — ما سایت‌هایی که بازدید می‌کنید، ‎IP‎های مقصد یا هیچ ‎payload‎ی — رمزنگاری‌شده یا غیر آن — را بازرسی، لاگ یا ذخیره نمی‌کنیم.
• بدون مهر زمانی اتصال — برای اعمال سهمیه، بایت‌های تجمعی به ازای هر دستگاه را دنبال می‌کنیم، اما زمان اتصال، قطع اتصال یا مدت نشست را ذخیره نمی‌کنیم.
• بدون جزئیات پرداخت پس از پردازش — ‎Stripe‎ و ‎NowPayments‎ داده‌های کارت/کیف پول را در سمت خود نگه می‌دارند. پس از ثبت پرداخت، فقط وضعیت اشتراک نزد ما باقی می‌ماند — بدون ‎PAN‎، بدون آدرس کامل کیف پول، بدون شناسه‌های مالیاتی.

3. حوزه قضایی

زیرساخت اصلی ما (وب‌اپلیکیشن، پایگاه داده، ‎control plane‎) در هلسینکی فنلاند اجرا می‌شود — یک حوزه قضایی اتحادیه اروپا تحت ‎GDPR‎، بدون قوانین نظارت گسترده و بدون معادل رژیم ‎NSL‎ آمریکا. فنلاند رژیم دادگاه‌های مخفی ندارد که بتواند با حکم سکوت، افشای داده را اجبار کند.

گره‌های خروجی ‎VPN‎ به‌خاطر انعطاف مسیریابی در چند حوزه قضایی توزیع شده‌اند، اما پایگاه داده کاربران — تنها جایی که حساب کاربری را به یک شخص پیوند می‌دهد — منحصراً در فنلاند است. درخواست به میزبان یک گره خروجی واحد نمی‌تواند هویت کاربران را احضار کند، چون گره‌های خروجی آن را ندارند.

4. ‎Warrant Canary‎

5. آمار درخواست‌های قانونی

6. کلاینت‌های متن‌باز

کلاینت‌های ما برای کاربر متن‌بازند. مجبور نیستید به ما اعتماد کنید — می‌توانید کدی را که روی دستگاه‌تان اجرا می‌شود بخوانید.

• github.com/nextunnel — ‎client SDK‎، افزونه‌های مرورگر و کلاینت‌های مرجع
• بسته‌های ‎URL‎ اشتراک هر ۳۰ دقیقه بازتولید می‌شوند — قالب آن مستند است و از ‎SDK‎ متن‌باز قابل بازتولید است.
• گزارش ایشو و مشارکت در ریپوهای عمومی استقبال می‌شود.

7. ‎Bug bounty‎ و افشای مسئولانه

اگر مسأله امنیتی در ‎NexTunnel‎ — وب، زیرساخت یا پیاده‌سازی پروتکل ‎VPN‎ — یافتید، می‌خواهیم بدانیم. متعهدیم گزارش‌های جدید را در کمتر از ۴۸ ساعت تأیید کنیم و برای هر آسیب‌پذیری‌ای که کاربران را تحت تأثیر قرار داده، یک ‎postmortem‎ منتشر کنیم.

security@nextunnel.com — گزارش‌های رمزنگاری‌شده پذیرفته می‌شوند (کلید ‎PGP‎ بنا به درخواست)

8. آنچه می‌توانیم افشا کنیم

به دلیل جمع‌آوری حداقلی داده، حتی با حکم قضایی معتبر در حوزه قضایی ما، فقط می‌توانیم اینها را ارائه دهیم:

• آدرس ایمیل مرتبط با حساب
• تاریخ ایجاد حساب
• مهر زمانی آخرین ورود (۹۰ روز نگهداری)
• ارجاع پردازشگر پرداخت (‎Stripe‎ / ‎NowPayments‎)
• مصرف پهنای باند تجمعی هر حساب

نمی‌توانیم اینها را ارائه دهیم:

• تاریخچه مرور یا ‎URL‎های بازدیدشده
• درخواست‌های ‎DNS‎
• محتوای ترافیک اینترنت
• آدرس‌های ‎IP‎ مقصد اتصال‌های کاربران
• لاگ‌های اتصال قدیمی‌تر از دوره نگهداری

9. فرآیند ما برای درخواست‌های قانونی

1. اعتبار قانونی و حوزه قضایی هر درخواست را تأیید می‌کنیم
2. درخواست‌های بیش‌ازحد گسترده یا نامعتبر را به چالش می‌کشیم
3. هر زمان که قانوناً مجاز باشد، کاربران متأثر را مطلع می‌کنیم
4. فقط حداقل داده‌ای که حکم قانونی مشخص می‌خواهد ارائه می‌کنیم
5. همه درخواست‌های قانونی را برای این گزارش شفافیت ثبت می‌کنیم

10. حفاظت از داده‌ها

برای جزئیات نحوه جمع‌آوری، پردازش و حفاظت از داده‌های شما، به سیاست حریم خصوصی.

11. تماس

برای پرسش درباره این گزارش، با تیم حقوقی ما در ‎legal@nextunnel.com‎ یا ‎Data Protection Officer‎ ما در ‎dpo@nextunnel.com‎ تماس بگیرید.